Ranjivosti visoke razine rizika u SolarWinds proizvodima
Dana 4. i 5. lipnja 2024., tvrtka SolarWinds je objavila četiri odvojene sigurnosne obavijesti vezane uz ranjivosti visoke razine rizika u više proizvoda. Preporučuje se žurno ažuriranje ranjivih proizvoda.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- CVE-2024-28995 – SolarWinds Serv-U ranjiv na ranjivosti pristupanja putanjom (engl. path traversal) koja omogućava čitanje osjetljivih datoteka na host uređaju.
- CVE-2024-28996 – SolarWinds Platforma zahvaćena ranjivošću SWQL (SolarWinds Query Language) umetanja. Složenost napada za ovu ranjivost je visoka.
- CVE-2024-28999 – SolarWinds Platforma zahvaćena Race Condition ranjivošću koja utječe na web konzolu.
- CVE-2024-29004 – SolarWinds Platforma zahvaćena Stored Cross-Site Scripting (XSS) ranjivošću koja utječe na web konzolu. Potrebne su korisničke vjerodajnice s visokim privilegijama, a za iskorištavanje ove ranjivosti potrebna je interakcija korisnika.
Zahvaćeni proizvodi:
- SolarWinds Serv-U 15.4.2 HF 1 i prethodne verzije (CVE-2024-28995)
- SolarWinds Platform 2024.1 SR 1 i prethodne verzije (CVE-2024-28996, CVE-2024-28999 i CVE-2024-29004)
Preporuke:
SolarWinds je objavio ažurirane verzije svojih proizvoda gdje su ove ranjivosti otklonjene, stoga se preporučuje žurno ažuriranje ranjivih relevantnih proizvoda na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.solarwinds.com/trust-center/security-advisories
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28996
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28999
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-29004
[inicijalna objava: 10.6.2024 - 13:11]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima